Cambia la tecnología, la gente se sofistica, se globaliza y también lo hacen los delincuentes que ahora salen de phishing…
Un día, al revisar su correo, encuentra un mensaje de su banco, su proveedor de acceso a Internet, o alguna institución casi siempre financiera -aunque hasta ya han aparecido de oficinas gubernamentales-.
El email tiene todos los signos identificatorios de su banco: logotipo, estilo de escritura y hasta puede que, enlace mediante, la direccione al website del supuesto banco o institución.
El mail habitualmente dice que necesita “actualizar” o “validar” sus datos personales. Y técnicas de marketing mediante, la insta a actuar inmediatamente, si no responde se le informa que su cuenta será cancelada o alguna otra cosa desagradable que, naturalmente, usted no desea que pase.
Como consecuencia de esa “actualización” o “validación” usted tiene que enviar datos personales por mail o dirigirse al website de la empresa mediante el enlace que le envían y completar la información: tarjetas de crédito, numero de cuentas, PIN (password), numero de seguridad social (dependiendo del país), en resumen toda información sensitiva.
Pero en lugar de haber sido enviado por su banco, comercio o institución con la que usted ya opera, el mail fue enviado por ciber delincuentes que a veces actúan solos y otras veces conforman verdaderas organizaciones criminales, por lo que, si cayó en la trampa, ahora tienen sus datos personales para desvalijarla/o o involucrarla/o en cosas “non santas”…
Esta mecánica delictiva y por extensión, este tipo de mensajes, reciben el nombre de phishing.
Consejos y recomendaciones para no caer en el phishing
Veamos para empezar los phishing más recientes reportados al Anti-Phishing working group. Si sigue el enlace, verá una copia del email utilizado, además de jugosos comentarios sobre la técnica empleada:
- 23-12-04 – AOL – ‘Verify your account’
- 22-12-04 – U.S. Bank – ‘Customer Service’
- 21-12-04 – VISA – ‘Notice from VISA’
- 07-12-04 – eBay – ‘Update or verify your account informations’
- 03-12-04 – America Online – ‘Notice : Your account will be suspended !’
- 02-12-04 – Earthlink – ‘Earthlink payment is cancelled’
- 30-11-04 – Suntrust – ‘Security Alert on Microsoft Internet Explorer ‘
- 29-11-04 – Washington Mutual – ‘WARNING: CONFIRM YOUR ONLINE BANKING ACCOUNT’
- 24-11-04 – Bank One – ‘Bank One security upgrade’
- 19-11-04 – eBay – ‘Account Suspension Notice – Section 9’
- 17-11-04 – Citibank – ‘Your online activity confirmation’
Tal vez usted respire aliviada, pues los mensajes son todos en inglés, pero ya comenzaron a aparecer en castellano, pues el negocio parece bueno… Además, puede que usted tenga una cuenta bancaria en los Estados Unidos, o una cuenta en Paypal, o utilice Ebay, mejor estar alertas.
Estos son algunos ejemplos de las expresiones más usadas en castellano y como ve, es una traducción directa de las originales (Lista tomada de EnPlenitud):
- “Seguridad y mantenimiento”
- “Investigación de irregularidades”
- “Su cuenta ha sido congelada –o dada de baja-“
- “Necesitamos confirmar sus datos”
- “Su tarjeta de crédito ha sido cancelada”
- “Responda rápido o sufrirá: Un recargo, multa, etc.”
- O cosas como: “tiene una gran cantidad de dinero en su cuenta, por favor verifique los movimientos”. Mmm, que tentador, ¿no? Cuidado…
Precauciones a tomar para evitar caer en una ciber estafa
Si recibe un email o un mensaje en un pop-up que le pide ingrese información personal o financiera, no lo conteste ni haga click sobre el enlace. Ninguna compañía seria le pedirá ese tipo de información por email. Si le preocupa el asunto, lo mejor es contactar directamente a la organización utilizando un teléfono que usted sepa que es válido, nunca uno que figura en el email.
También puede cerrar un navegador y volverlo a abrir, de forma de iniciar una nueva sesión, luego tipée la url de la empresa, de ninguna manera copie y pegue el enlace, pues así estaría ingresando en el site sospechoso.
Un detalle sobre los pop-ups que se abren al entrar en un site. Alerta, no es difícil introducir un pop-up en un sitio de un tercero y capturar información. El sitio puede ser totalmente válido y hasta no advertir la maniobra, mejor es ser prudentes.
No envíe información personal o financiera por email. No es un método de transmisión de datos seguro. Si desea realizar una transacción desde un website, observe los signos de servidor seguro. Dos indicadores son:
- a. el icono de candado cerrado en la barra inferior del lado izquierdo
- b. Mire la url del site, en la zona de check-out o caja, la url NO debe comenzar con http, sino con https, pues la “s” indica un servidor seguro.
Por supuesto estas características (el candado cerrado y https) no la podemos pedir en todo el site, es común que sitios que contratan una compañía externa para procesar pagos e información delicada (como por ejemplo Mujeres de Empresa) no muestren esos signos en todo el site, no es necesario.
En esos casos, una vez confirmada la operación, el cliente es direccionado a una zona segura que se encuentra en el site de la empresa encargada de procesar los pagos. Nuevamente en el caso de Mujeres de Empresa, la persona es direccionada a 2checkout.
Un detalle que la alertará sobre la legitimidad del envío: los bancos, los comercios y otras instituciones con los que usted mantiene contacto permanente, suelen mandar emails personalizados, lo que evidentemente no puede hacer quien “sale de phishing”.
Revise sus estados de cuenta bancaria y las liquidaciones de las tarjetas de crédito en cuanto los reciba, así podrá ver que no haya cargos no autorizados. También fíjese de estar recibiendo esos estados de cuenta.
No olvide que actualmente casi todos los bancos y tarjetas de crédito permiten revisar los estados de cuenta online, por eso ¿por qué esperar 30 días para revisar los cargos? Hágase la rutina de revisarlos una vez por semana.
Use un software antivirus y manténgalo actualizado, recuerde que la mayoría de ellos se actualizan diariamente y permiten establecer una rutina de ejecución automática: en el horario que usted determine, se conectará a Internet para verificar si está al día; si hay alguna actualización, la descargará e instalará sin que usted tenga que hacer nada.
También puede automatizar una rutina diaria para revisar toda su PC en busca de algún virus que se pueda haber colado. Tal vez esté pensando que no sabe programar para hacer tanta automatización, pues ¡yo tampoco! El software, mediante la elección de opciones de una planilla, hace todo solito. ¡Que alivio!
Algunos de éstos phishing emails contienen software que puede dañar su computadora, de ahí la insistencia con el antivirus.
Instale y mantenga actualizado un firewall (o pared corta fuegos), sobre todo si tiene una conexión de banda ancha. Eso la ayudará a estar protegida bloqueando el acceso a usuarios no autorizados.
Además, no olvide de actualizar su sistema operativo con todos los parches de seguridad que se publican periódicamente. Este proceso también puede ser automatizado. Si cuando instaló su sistema operativo no seleccionó la opción de aviso de updates, puede ir a http://www.microsoft.com/security/ una vez allí, fíjese en la sección Security, allí puede pedir que le manden un email de alerta cada vez que publiquen un update.
Afortunadamente Microsoft parece que esta vez pensó en que no todos son expertos, por eso ofrece dos opciones:
- Recibir una notificación en términos simples, no técnicos, o
- Recibir una notificación con explicaciones en un lenguaje técnico e información más completa.
Recuerde que todos los sistemas operativos y softwares tiene algún punto débil conocido como security hole, por eso las empresas monitorean el comportamiento de su software continuamente y publican patches o parches que usted debe instalar y mantener actualizados.
Sea precavida/o al abrir los attachements de los emails, aún cuando vengan de un usuario legítimo, pues puede ser un virus que se envía en forma automática a todas las personas que figurar en la agenda de direcciones del programa de correo.
Considere seriamente instalar una barra anti-phishing -conocidas también como scam blocker- en su navegador. La alertará sobre los sitios fraudulentos. EarthLink provee una en forma gratuita, la puede descargar de: http://www.earthlink.net/earthlinktoolbar
Acceda en forma regular a sus cuentas online. Nunca deje una cuenta sin verificar más de un mes.
El phishing es cosa de todos los días, durante diciembre recibí pedidos de actualización de datos de Citibank, Citizens bank, eBay, 5 mails diarios de PayPal, muy interesante pues salvo PalPal, no tengo ninguna cuenta que actualizar en los otros servicios.
La FCE- Federal Trade Commission de los Estados Unidos informa que si recibe un mail que intenta obtener información privada, lo denuncie enviándolo (forward) a [email protected]. Sinceramente no sé si este servicio es sólo para ciudadanos norteamericanos, pero dado que todo el phishing que recibo parece venir de ahí, a partir de ahora lo usaré.
¿Vio que parecido suena a phishing a fishing? En otras palabras, me parece que algunos salieron a pescar incautos, ahora ya tiene herramientas para que no la tome desprevenida.
Conclusiones
Para terminar, recuerde que la ignorancia y la codicia son los puntos débiles en los que se apoyan los estafadores. Tome nota: estos casos existen y se perfeccionan todos los días, tome recaudos, infórmese y edúquese en el buen uso de la tecnología. Y recuerde que mucha gente inteligente cae en estas u otras estafas por su codicia.
Por increíble que parezca, el pedido de ayuda de un “alto funcionario del gobierno de Nigeria o su esposa” para poner una enorme cantidad de dinero proveniente de “comisiones” (coimas) a nombre de un tercero (concretamente, usted), cosecha incautos diariamente.
